A Microsoft anunciou em 10 de junho que havia descoberto vários ataques de cryptojacking a poderosos clusters de aprendizado de máquina em sua rede de computação em nuvem do Azure.

Em uma postagem no blog, a empresa disse que alguns clientes haviam configurado mal os nodes, permitindo que os invasores os sequestrassem para explorar a criptomoeda Monero (XMR), focada na privacidade.

Configurações padrão substituídas

A Microsoft disse que descobriu dezenas de clusters afetados pelo ataque, que tem como alvo um kit de ferramentas de aprendizado de máquina, o Kubeflow, para a plataforma Kubernetes de código aberto.

Por padrão, o painel para controlar o Kubeflow só pode ser acessado internamente a partir do node; portanto, os usuários precisam usar o encaminhamento de porta para efetuar o túnel através da API do Kubernetes. No entanto, alguns usuários modificaram isso, potencialmente por conveniência, expondo diretamente o painel à Internet.

Com acesso ao painel, os hackers tinham vários vetores disponíveis através dos quais comprometiam o sistema.

Quando o escudo estiver abaixado, ataque

Uma possibilidade é configurar ou modificar um servidor de notebook Jupyter no cluster com uma imagem maliciosa.

A equipe da Central de Segurança do Azure descobriu uma imagem suspeita de um repositório público em vários clusters de aprendizado de máquina.

Ao investigar as camadas da imagem, a equipe percebeu que executava um minerador XMRig, para usar clandestinamente o node para extrair a criptomoeda Monero.

Os clusters de aprendizado de máquina são relativamente poderosos e às vezes contêm GPUs, tornando-os um alvo ideal para cryptojackers.

Como o Cointelegraph relatou, a empresa de segurança cibernética Sophos revelou recentemente que os invasores violaram os bancos de dados vulneráveis do Microsoft SQL Server para instalar o mesmo software XMRig que extrai o Monero.

Leia mais: